BlockSec:Arbitrum 上 FutureSwap协议再遭攻击,重入漏洞致损失 7.4 万美元
Foresight News tin tức, theo dõi của BlockSec Phalcon, hợp đồng Futureswap trên Arbitrum một lần nữa bị tấn công, dự kiến thiệt hại khoảng 74.000 USD. Mặc dù thiệt hại không lớn, nhưng đáng chú ý là cuộc tấn công này đã tiết lộ một mặt trận tấn công mới: lỗ hổng reentrancy. Kẻ tấn công đã sử dụng một quy trình hai bước gồm thời gian chờ 3 ngày để trộm tiền từ giao thức. Bước đầu tiên là giai đoạn đúc, kẻ tấn công lợi dụng lỗ hổng reentrancy trong quá trình cung cấp thanh khoản, bằng cách tái nhập vào hàm 0x5308fcb1 trước khi cập nhật sổ sách nội bộ của hợp đồng, để đúc ra một lượng lớn token LP so với tài sản thực đã gửi. Bước thứ hai là giai đoạn rút tiền, sau khi chờ đợi đúng 3 ngày thời gian chờ rút tiền bắt buộc, kẻ tấn công thực hiện rút tiền, đốt token LP giả mạo để đổi lấy tài sản thế chấp cơ bản, từ đó hiệu quả trộm tài sản từ giao thức và thu lợi nhuận.